Die Zahl der Cyberangriffe im öffentlichen und privaten Sektor wird immer größer. Die Attacken haben ein enormes Schadenspotential, für Unternehmen können sie im schlimmsten Fall existenzbedrohend sein. Die Europäische Union verabschiedete deshalb die neue NIS2-Richtlinie (NIS steht für Sicherheit der Netz- und Informationssysteme).
Diese verpflichtet Unternehmen, für ein hohes Cybersicherheitsniveau zu sorgen. NIS2 ist die Weiterentwicklung der NIS-Richtlinie aus dem Jahr 2016, die bereits einheitliche Cybersicherheitsstandards schaffen sollte. „NIS2 ist viel umfangreicher, es wurde deutlich nachgeschärft“, sagt Gerald Eder, Geschäftsführer des Salzburger IT-Unternehmens Solbytech.
Cybersicherheit wird zur Chefsache
Unternehmen müssen künftig Konzepte zur Risikoanalyse vorweisen, Lieferketten analysieren, Systeme zur aktiven Überwachung von Sicherheitsvorfällen integrieren oder einen Notfallplan zur Bewältigung von Cybersicherheitsvorfällen einführen.
Zudem soll Cybersicherheit zur Chefsache werden: Geschäftsführer müssen die Umsetzung der Maßnahmen überwachen, sonst können sie zur Verantwortung gezogen werden. „Es ist wichtig, eine Grundsicherheit im Unternehmen zu haben“, sagt Gerald Eder über die Maßnahmen. „Man muss einen Überblick haben, wie der Stand der IT-Sicherheit im Unternehmen ist und wo die Lücken sind. Das ist essenziell, um Gegenmaßnahmen einzuleiten und da besteht Aufholbedarf.“
Auch Zulieferer betroffen
In Österreich fallen 4.000 Unternehmen aus 18 Sektoren unter die neue Richtlinie. Betroffen sind Unternehmen ab mindestens 50 Beschäftigten oder ab eines Jahresumsatzes von zehn Millionen Euro.
Was vielen Unternehmen aber nicht bewusst ist: „Es kann auch Firmen treffen, die eigentlich nicht unter NIS2 fallen würden“, sagt Eder. „Ein Zulieferer eines großen Unternehmens, das von NIS2 betroffen ist, muss ebenfalls Teile der Richtlinie erfüllen.“
Dann fallen etwa 360.000 Unternehmen unter die neuen Vorgaben. Die Zeit drängt: „Vor allem viele kleinere und mittlere Unternehmen haben die erforderlichen Maßnahmen noch nicht umgesetzt“, weiß Eder.
Spätestens 2025 wird die Richtlinie in Kraft treten
Eigentlich sollte die NIS2-Richtlinie bis zum 17. Oktober dieses Jahres in nationales Recht umgesetzt werden. Diese Frist wurde allerdings verpasst, der entsprechende Entwurf wurde im Nationalrat abgelehnt.
„Es gibt eine Schonfrist für Unternehmen, die noch nicht nachgerüstet haben. Wir gehen davon aus, dass das Gesetz spätestens 2025 in Kraft treten wird“, so Eder. Deshalb sei es für Unternehmen wichtig, sich frühzeitig mit der neuen Verordnung zu beschäftigen. Denn werden die Vorgaben nicht eingehalten, drohen empfindliche Strafen.
„Der Bußgeldrahmen liegt bei zehn Millionen Euro und zwei Prozent des Umsatzes für wesentliche Einrichtungen und für wichtige Unternehmen bei sieben Millionen Euro und 1,4 Prozent des Umsatzes“, erläutert Gerald Eder.
Es wird schwieriger, einen Versicherungsschutz zu bekommen
„Wir empfehlen grundsätzlich eine Cyberversicherung abzuschließen“, sagt Dirk Hölzer, Geschäftsführer von Raiffeisen Tirol Versicherungsmakler. „Wenn man von einer Attacke betroffen ist, muss man einen Krisenmanagement-Plan haben. Da greift die Versicherung und hilft.“ Es werde aber immer schwieriger für Unternehmen, einen Versicherungsschutz zu bekommen, weil die erforderlichen Maßnahmen im Sicherheitsbereich nicht erfüllt werden.
Bin ich von der neuen Richtlinie NIS2 betroffen?
Informieren können sich Unternehmen unter anderem bei der Wirtschaftskammer oder direkt bei der Solbytech GmbH. Der Online-Ratgeber bietet eine Orientierungshilfe, ob man von der neuen Richtlinie betroffen ist.